CCNA_Security_02保护网络设备剖析.pptx

CCNA 安全;目 标;第二章: 保护网络设备;2.1 保护对设备的访问;2.1 保护对网络设备的访问;2.1.1 保护边界路由器;路由器安全的范围;保护管理访问 1、限制对设备的访问 2、对所有访问做日志和记帐 3、对访问进行认证 4、对动作授权 5、呈现合法的通知 6、确保数据的机密性;本地与远程访问;2.1.2 配置安全的管理访问;1、密码设置要求;2、设置访问端口的密码;3、密码安全设置;4、创建用户;4、创建用户;2.1.3 为虚拟登录配置增强的安全性;1、为获得更好虚拟登录连接的安全性应配置以下参数：;阻塞登录的block-for命令;login block-for — 两种模式;login block-for — 两种模式;配置登录block-for 命令;2.1.3 为虚拟登录配置增强的安全性;登录block-for命令示例;4、登录消息;2.1.4 配置 SSH;1、配置路由器（准备工作）;??? SSH简单的运行过程;2、SSH配置;可选的SSH命令;3、连接到路由器;4、使用SDM;2.2 分配管理角色;2.2 分配管理角色;2.2.1 配置特权级别;默认: 用户执行模式 (特权级别 1) 特权执行模式 (特权级别 15) 可以有16个级别(0,1,15是预先设定的) 提供特权级别访问基础设施的方法: A：特权级别 B：基于角色的CLI访问;2、特权CLI 命令;2、特权CLI 命令（续）;3、用户的特权级别;4、特权级别;5、特权级别的限制;2.2.2 配置基于角色的CLI访问;1、基于角色的CLI;2、视图的类别;2、视图的类别（续）;3、创建和管理视图;3、创建和管理视图（续1）;3、创建和管理视图（续2）;3、创建和管理视图（续3）;2.3 监控和管理设备;2.3 监控和管理设备;2.3.1保护 思科IOS 镜像 和 配置文件;1、弹性（Resilient）配置— IOS;R1# show secure bootset IOS resilience router id FHK133076SV IOS image resilience version 12.4 activated at 02:44:04 UTC Thu Jan 7 2010 Secure archive flash:c1841-advsecurityk9-mz.124-15.T9.bin type is image (elf) [ ] file size isbytes, run size isbytes Runnable image, entry point 0x8000F000, run from ram IOS configuration resilience is not active;R1(config)# secure boot-config R1(config)# *Jan 7 03:11:57.559: %IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive [flash:.runcfg031157.ar];2、恢复主要启动集— no 命令;2、恢复主要启动集— reload 命令;2、恢复主要启动集—Backup config命令;3、密码恢复程序;3、密码恢复程序（续）;R1# show run Building configuration... Current configuration : 836 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service password-recovery;如果密码真的丢失了，怎么办？;2.3.2 安全管理和报告;2.3.3 使用系统日志;1、实现路由器日志;1、实现路由器日志;2、系统日志;3、用SDM/CCP 启用系统日志;3、用SDM监控系统日志;3、用SDM监控系统日志－远程;2.3.4 使用SNMP实现网络安全;1、SNMP;1、SNMP（续）;;3、SNMPv3;4、安全级别;5、Trap 接收器;2.3.5 使用 NTP;1、用途;2、计时;2、计时（续）;3、特性/功能;2.3.5 使用 NTP;4、用 SDM/CCP启用NTP;2.4 使用自动安全特性;2.4 使用自动安全特性;2.4.1 执行安全审计;1、安全实施;2、安全审计;3、安全审计向导;2.4.2